Esta traducción se proporciona con fines de comprensión. La versión jurídicamente vinculante es la declaración de protección de datos (Datenschutzerklärung) en alemán.

Política de privacidad

00 — De un vistazo

¿Qué se recoge? En las páginas públicas (página de inicio, política de privacidad, aviso legal), exclusivamente datos técnicos de acceso por parte de nuestro proveedor de alojamiento IONOS, así como estadísticas agregadas a través de IONOS WebAnalytics — totalmente del lado del servidor y sin cookies. Sin seguimiento del lado del cliente.

En el área de miembros protegida por contraseña (/members/) se almacenan datos de cuenta para la autenticación y la prestación de funciones (nombre de usuario, correo electrónico opcional, hash de la contraseña, datos de acceso opcionales de passkey, datos de sesión y de registro de seguridad). Detalles en las secciones 09–20.

¿Quién es el responsable? Lukas Moser, c/o Block Services, Stuttgarter Str. 106, 70736 Fellbach, Alemania. Contacto:

¿Cómo puede oponerse al tratamiento? Por escrito a la dirección anterior — véanse las secciones 04 y 05.

01 — Responsable del tratamiento

Lukas Moser
c/o Block Services
Stuttgarter Str. 106
70736 Fellbach
Alemania

Correo electrónico:

No se requiere por ley un delegado de protección de datos y no se ha designado ninguno.

02 — Alojamiento

Este sitio web está alojado en:

IONOS SE · Elgendorfer Str. 57 · 56410 Montabaur

Al visitar el sitio web, IONOS registra archivos de registro del servidor, incluidas las direcciones IP. Las direcciones IP se anonimizan para su evaluación estadística (véase la sección 06). Detalles en: ionos.de/datenschutzerklaerung

Base jurídica: Art. 6, ap. 1, lit. f) del RGPD (Reglamento General de Protección de Datos — UE 2016/679) (interés legítimo en el funcionamiento fiable del sitio web).

Encargo del tratamiento: Con IONOS existe un contrato de encargo del tratamiento (AVV — Auftragsverarbeitungsvertrag) conforme al Art. 28 del RGPD. El tratamiento de datos se realiza, conforme al AVV, en principio dentro de la UE o del EEE. Si excepcionalmente fuera necesaria una transferencia a un tercer país, IONOS garantiza un nivel de protección adecuado conforme a los Art. 44 y ss. del RGPD. IONOS está certificada según ISO 27001.

03 — Indicaciones generales

Plazo de conservación: Salvo que se indique un plazo de conservación más específico, sus datos personales permanecerán con nosotros hasta que desaparezca la finalidad del tratamiento. Si presenta una solicitud justificada de supresión o revoca un consentimiento, sus datos se eliminarán, siempre que no existan otros motivos legalmente admisibles (p. ej., plazos de conservación con arreglo al derecho fiscal o mercantil).

Bases jurídicas: En la medida en que usted haya consentido el tratamiento, trataremos sus datos personales sobre la base del Art. 6, ap. 1, lit. a) del RGPD. En caso de consentimiento para la transferencia a terceros países, adicionalmente sobre la base del Art. 49, ap. 1, lit. a) del RGPD. En la medida en que usted haya consentido el almacenamiento de cookies o el acceso a información en su dispositivo terminal, adicionalmente sobre la base del § 25, ap. 1, del TDDDG (ley alemana de protección de datos en telecomunicaciones y servicios digitales). El consentimiento puede revocarse en cualquier momento. El tratamiento para el cumplimiento de obligaciones jurídicas se realiza sobre la base del Art. 6, ap. 1, lit. c) del RGPD. Adicionalmente, puede recurrirse al Art. 6, ap. 1, lit. f) del RGPD (interés legítimo) como base jurídica.

Destinatarios: Únicamente transmitimos datos personales a entidades externas cuando ello es necesario para la ejecución del contrato, existe una obligación legal o concurre un interés legítimo conforme al Art. 6, ap. 1, lit. f) del RGPD. En caso de recurrir a encargados del tratamiento, la transmisión se efectúa únicamente sobre la base de un AVV válido.

Cifrado SSL/TLS: Esta página utiliza cifrado SSL o TLS. Puede reconocer una conexión cifrada por el «https://» en la barra de direcciones y el símbolo del candado en el navegador.

04 — Sus derechos

Usted tiene los siguientes derechos respecto a sus datos personales (Art. 15–21 del RGPD):

Acceso (Art. 15) — información gratuita sobre los datos almacenados, su origen, destinatarios y la finalidad del tratamiento.

Rectificación (Art. 16) — rectificación de datos inexactos o completar datos incompletos.

Supresión (Art. 17) — supresión de sus datos, siempre que no se opongan obligaciones legales de conservación.

Limitación (Art. 18) — bajo determinadas condiciones, puede solicitar la limitación del tratamiento en lugar de la supresión, p. ej., cuando impugne la exactitud de los datos, el tratamiento haya sido ilícito o necesite los datos para la formulación, el ejercicio o la defensa de reclamaciones.

Portabilidad de los datos (Art. 20) — los datos que tratemos sobre la base de su consentimiento le serán entregados en un formato común y legible por máquina.

Revocación de consentimientos — en la medida en que un tratamiento se base en su consentimiento, podrá revocarlo en cualquier momento con efectos para el futuro. La licitud del tratamiento efectuado hasta la revocación no se verá afectada.

Derecho de reclamación — puede presentar en todo momento una reclamación ante la autoridad de control de protección de datos competente (véase la sección 08).

Para cualquier consulta en materia de protección de datos, puede dirigirse en todo momento al responsable del tratamiento.

05 — Derecho de oposición (Art. 21 del RGPD)

SI EL TRATAMIENTO DE DATOS SE REALIZA SOBRE LA BASE DEL ART. 6, AP. 1, LIT. E) O F) DEL RGPD, USTED TIENE DERECHO EN TODO MOMENTO, POR MOTIVOS RELACIONADOS CON SU SITUACIÓN PARTICULAR, A OPONERSE AL TRATAMIENTO DE SUS DATOS PERSONALES; ESTO SE APLICA TAMBIÉN A LA ELABORACIÓN DE PERFILES BASADA EN DICHAS DISPOSICIONES. LA BASE JURÍDICA CORRESPONDIENTE EN LA QUE SE FUNDA UN TRATAMIENTO PUEDE CONSULTARSE EN ESTA POLÍTICA DE PRIVACIDAD. SI USTED PRESENTA OPOSICIÓN, SUS DATOS PERSONALES AFECTADOS YA NO SERÁN OBJETO DE TRATAMIENTO, A MENOS QUE PODAMOS ACREDITAR MOTIVOS LEGÍTIMOS IMPERIOSOS PARA EL TRATAMIENTO QUE PREVALEZCAN SOBRE SUS INTERESES, DERECHOS Y LIBERTADES, O QUE EL TRATAMIENTO SIRVA PARA LA FORMULACIÓN, EL EJERCICIO O LA DEFENSA DE RECLAMACIONES (OPOSICIÓN CONFORME AL ART. 21, AP. 1, DEL RGPD).

SI SUS DATOS PERSONALES SE TRATAN CON FINES DE MERCADOTECNIA DIRECTA, USTED TIENE DERECHO A OPONERSE EN CUALQUIER MOMENTO AL TRATAMIENTO DE LOS DATOS PERSONALES QUE LE CONCIERNAN CON FINES DE TAL MERCADOTECNIA; ESTO SE APLICA TAMBIÉN A LA ELABORACIÓN DE PERFILES EN LA MEDIDA EN QUE ESTÉ RELACIONADA CON DICHA MERCADOTECNIA DIRECTA. SI USTED SE OPONE, SUS DATOS PERSONALES YA NO SERÁN UTILIZADOS POSTERIORMENTE PARA FINES DE MERCADOTECNIA DIRECTA (OPOSICIÓN CONFORME AL ART. 21, AP. 2, DEL RGPD).

06 — Analítica web (IONOS WebAnalytics)

Este sitio web no emplea cookies ni seguimiento del lado del cliente. Para la evaluación estadística del uso de la página utilizamos IONOS WebAnalytics — un procedimiento de análisis totalmente del lado del servidor de nuestro proveedor de alojamiento IONOS SE.

Funcionamiento: IONOS WebAnalytics opera basándose en píxeles o en archivos de registro directamente en los servidores de IONOS. No se establecen cookies ni se utilizan tecnologías de almacenamiento comparables (p. ej., localStorage) en su dispositivo terminal.

Datos recogidos: referente (página web visitada anteriormente) · página web o archivo solicitado · tipo y versión del navegador · sistema operativo · tipo de dispositivo · hora del acceso · dirección IP en forma anonimizada (se utiliza exclusivamente para determinar aproximadamente la ubicación del acceso).

La dirección IP se transmite al solicitar una página, se anonimiza inmediatamente después de la transmisión y se trata sin referencia a la persona. Según indica IONOS, no almacena datos personales de los visitantes del sitio web; no se realiza identificación de visitantes individuales.

Finalidad: exclusivamente evaluación estadística y optimización técnica de la oferta web.

Destinatarios: IONOS SE, Elgendorfer Str. 57, 56410 Montabaur (encargado del tratamiento, AVV conforme al Art. 28 del RGPD). El tratamiento se realiza dentro de la UE/del EEE. No se produce transmisión a terceros fuera del encargo del tratamiento.

Base jurídica: Art. 6, ap. 1, lit. f) del RGPD (interés legítimo en una evaluación estadística del uso del sitio web para la mejora continua de la oferta así como para garantizar la seguridad informática). Dado que no se establecen cookies ni se leen informaciones del dispositivo terminal, el § 25 TDDDG (ley alemana de protección de datos en telecomunicaciones y servicios digitales) no resulta aplicable — por lo que no se requiere consentimiento.

Usted puede oponerse en cualquier momento al tratamiento conforme al Art. 21, ap. 1, del RGPD por motivos derivados de su situación particular — por escrito a la dirección indicada en la sección 01.

Más información: ionos.de/hilfe — Indicaciones de protección de datos de WebAnalytics

07 — Tipos de letra

El tipo de letra utilizado (Space Mono) está almacenado localmente en el servidor. Al cargar la página no se establecen conexiones con servidores externos.

08 — Autoridad de control

Usted tiene derecho a presentar en cualquier momento una reclamación ante la autoridad de control de protección de datos competente:

LfDI Baden-Württemberg · Lautenschlagerstraße 20 · 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

09 — Área de miembros (`/members/`)

El área de miembros es de acceso exclusivo por invitación y solo es accesible tras el registro con nombre de usuario y contraseña. En cuanto usted inicia sesión, tratamos los datos descritos a continuación para la prestación de las funciones, la seguridad del servicio y el cumplimiento del contrato en el sentido de las normas de uso del grupo.

Bases jurídicas: Art. 6, ap. 1, lit. b) del RGPD (cumplimiento de la relación de uso) así como Art. 6, ap. 1, lit. f) del RGPD (interés legítimo en un funcionamiento seguro y operativo). El consentimiento a las disposiciones de protección de datos se otorga activamente en el momento del registro (casilla obligatoria); el momento se documenta en el registro de auditoría (Art. 7, ap. 1, del RGPD).

Dentro de /members/ no integramos scripts de seguimiento del lado del cliente, recursos de terceros ni fuentes web. Las fuentes, imágenes y JavaScript se cargan exclusivamente desde el propio servidor. Únicamente se establece una cookie de sesión técnicamente necesaria (véase la sección 11).

No obstante, tenga en cuenta que, dado que el área se ejecuta en el mismo servidor (IONOS), también se aplican aquí el registro del alojamiento descrito en la sección 02 y la analítica web del lado del servidor por parte de IONOS descrita en la sección 06 (basada en archivos de registro, sin cookies, IP anonimizada). De este modo, IONOS ve el momento y la URL de sus llamadas dentro de /members/, pero, debido a la anonimización, no puede vincularlas con su cuenta — y nosotros tampoco combinamos estas estadísticas de IONOS con los identificadores de usuario almacenados en el registro de auditoría (sección 13).

10 — Datos de la cuenta

En el registro y en el perfil se almacenan en nuestra base de datos los siguientes datos:

Obligatorios: nombre de usuario, nombre visible, hash de la contraseña (Argon2id, la contraseña en texto plano nunca se almacena), momento de la creación.

Opcionales, indicados por el usuario: dirección de correo electrónico, foto de perfil (véase la sección 14).

Indicadores de estado y de función: rol de administrador, estado de bloqueo, estado de aprobación, autorización para comentar/publicar, indicador «la contraseña debe cambiarse», indicador «se recomienda configurar passkey».

Recogidos automáticamente: momento del último inicio de sesión, contador de intentos fallidos de inicio de sesión, en su caso tiempo de bloqueo de la cuenta, momento de la última llamada al feed (para el marcador «nuevo desde» en el feed).

Plazo de conservación: hasta la supresión de la cuenta por parte del usuario (véase la sección 19) o por parte del responsable.

Las entradas para el Memberpass / etiqueta para maleta personal (nombre/apellido, dirección, número de teléfono) deliberadamente no se almacenan en nuestra base de datos — detalles en la sección 17.

11 — Sesiones y cookies

Para mantener el inicio de sesión establecemos una cookie de sesión técnicamente necesaria:

Nombre: sk_sid
Contenido: ID de sesión aleatoria (ningún dato personal directamente en la cookie)
Propiedades: HttpOnly, Secure, SameSite=Strict; solo durante la duración de la sesión (tiempo de espera por inactividad de 30 minutos, tiempo de espera estricto de 12 horas)
Finalidad: mantener la sesión iniciada, protección frente a ataques CSRF

Los datos de sesión se mantienen exclusivamente del lado del servidor en archivos estándar de sesión de PHP (normalmente en el directorio temporal del servidor). Ya no mantenemos una tabla de base de datos de sesiones con direcciones IP, cadenas de User-Agent o identificadores de dispositivo. Al cerrar sesión, al expirar la sesión o al suprimir la cuenta, se descarta el archivo de sesión.

Base jurídica: Art. 6, ap. 1, lit. b) del RGPD y § 25, ap. 2, n.º 2, del TDDDG (ley alemana de protección de datos en telecomunicaciones y servicios digitales) (técnicamente necesario para la prestación del servicio con sesión iniciada — no se requiere consentimiento).

12 — Passkeys y códigos de recuperación (autenticación de doble factor)

Para la autenticación de doble factor fuerte, usted puede registrar voluntariamente passkeys (WebAuthn / FIDO2). En este proceso tratamos y almacenamos exclusivamente:

ID de credencial (asignada por el dispositivo), clave pública (codificada en PEM), denominación del autenticador (AAGUID), un contador de firmas así como una denominación elegida libremente («iPhone», «YubiKey», etc.).

En ningún momento recibimos datos biométricos (huella dactilar, rostro). Estos permanecen exclusivamente en su dispositivo terminal; solo se transmite una prueba criptográfica a nuestro servidor.

Opcionalmente, puede generar códigos de recuperación — 10 códigos de un solo uso que permiten iniciar sesión en caso de pérdida del passkey. Solo almacenamos el hash SHA-256, no el código en sí. El texto plano se muestra una única vez en el navegador y, a partir de ahí, solo usted lo conoce. Si se canjea un código de recuperación, anotamos el momento del canje — ninguna dirección IP.

Restablecimiento de contraseña: Al solicitar un restablecimiento de contraseña, solo almacenamos el hash SHA-256 del token de un solo uso que se le envía por correo electrónico, su fecha de caducidad así como, tras su uso correcto, el momento del canje — ninguna dirección IP. El token en texto plano permanece únicamente en el correo electrónico. Los tokens no utilizados se invalidan tras su caducidad.

Plazo de conservación: hasta la revocación o supresión por parte del usuario o hasta la supresión de la cuenta. Base jurídica: Art. 6, ap. 1, lit. b) y lit. f) del RGPD.

13 — Registro de seguridad (registro de auditoría e intentos de inicio de sesión)

Para la defensa frente a ataques de fuerza bruta y para el esclarecimiento de incidentes de seguridad, registramos eventos relevantes para la seguridad:

Intentos de inicio de sesión: marca de tiempo, nombre de usuario (en caso de que se haya indicado), dirección IP truncada (en IPv4, el último octeto se pone a cero → subred /24; en IPv6, el prefijo /48), éxito/fracaso. El truncamiento se realiza directamente al registrar — nunca conocemos la IP completa. Con la subred se pueden bloquear bots de fuerza bruta sin poder identificar a personas individuales. Los registros se eliminan automáticamente al cabo de 14 días.

Registro de auditoría: acciones relevantes para la seguridad y la cuenta (p. ej., inicio de sesión exitoso, cambio de contraseña, registro/eliminación de passkey, supresión de cuenta, creación de invitación, consentimiento de protección de datos). Se registran: tipo de evento, ID/nombre de usuario (en caso de ser conocido), dirección IP truncada (mismo procedimiento que arriba — /24 o /48), marca de tiempo. No se almacena ninguna cadena de User-Agent. Plazo de conservación: 180 días, después supresión automática. En caso de supresión de la cuenta, se elimina la vinculación con el usuario (las entradas de auditoría permanecen anonimizadas con fines de seguridad y de prueba).

Base jurídica: Art. 6, ap. 1, lit. f) del RGPD (interés legítimo en la protección del servicio frente a usos indebidos). El truncamiento de la IP sigue el principio de minimización de datos (Art. 5, ap. 1, lit. c), del RGPD).

14 — Fotos de perfil (avatares)

Puede subir voluntariamente una foto de perfil. La imagen es descodificada por completo y de nuevo por el servidor y se almacena en un formato estandarizado (WebP, 256 × 256 píxeles); los metadatos (EXIF) se eliminan en el proceso. Ubicación de almacenamiento: fuera del webroot público; entrega exclusivamente a través de un endpoint autenticado.

Dentro del área de miembros, la foto de perfil es visible para otros miembros con sesión iniciada (p. ej., en comentarios). Fuera del área de miembros, solo es visible si usted la ha liberado expresamente en su página de contacto pública (véase la sección 18).

Plazo de conservación: hasta la eliminación por parte del usuario o hasta la supresión de la cuenta. Base jurídica: Art. 6, ap. 1, lit. a) del RGPD (consentimiento mediante carga activa).

15 — Contenidos (noticias, comentarios, reacciones, notificaciones)

En el área de miembros se pueden — dependiendo de su autorización — crear publicaciones de noticias, añadirles imágenes, comentar y valorar. Se almacenan: contenido de la publicación, imágenes subidas (archivo + leyenda + dimensiones, también recodificadas por el servidor para eliminar metadatos), ID del autor, marca de tiempo, contenidos de comentarios con referencia al hilo (Parent-ID), reacciones (voto +/−1 por publicación).

Si se menciona a otros miembros mediante @nombredeusuario o alguien responde a una publicación, generamos una entrada de notificación en la bandeja de entrada del destinatario con referencia al desencadenante (publicación/comentario), un breve extracto de vista previa y el estado de lectura.

La visibilidad de sus contenidos se limita al área de miembros; no son públicos. Al suprimir su cuenta, se eliminan sus reacciones, comentarios y notificaciones; las publicaciones de noticias propias pueden — siempre que aún sean referenciadas por otros — permanecer de forma anonimizada.

Base jurídica: Art. 6, ap. 1, lit. b) del RGPD (prestación de la función acordada).

16 — Envío de correos electrónicos

Enviamos correos electrónicos exclusivamente cuando hay un motivo concreto. Los distintos tipos de correo pueden activarse/desactivarse individualmente (tabla mail_templates); actualmente están previstos:

Invitación (enlace de token para el registro), restablecimiento de contraseña (enlace de token), respuesta a comentario, mención mediante @username, confirmación de registro para nuevos usuarios, notificación al administrador sobre nuevos candidatos, notificación de aprobación/rechazo, cuenta eliminada por el administrador, aviso de exportación de datos así como mensajes que se le reenvían a través de la página de contacto pública (sección 18).

El envío se realiza a través de la infraestructura de correo de nuestro proveedor de alojamiento IONOS SE, Elgendorfer Str. 57, 56410 Montabaur — el mismo encargado del tratamiento que también presta el alojamiento y la analítica web (cf. sección 02). El tratamiento se realiza sobre la base del AVV existente conforme al Art. 28 del RGPD dentro de la UE/del EEE. Únicamente se transmiten los datos necesarios para la entrega: dirección del destinatario, dirección del remitente, asunto y contenido del mensaje. Los contenidos de los correos no se almacenan de forma permanente en nuestra base de datos — la conservación se produce únicamente en el lado del destinatario o del buzón de correo.

Las plantillas pueden ser desactivadas individualmente por el responsable; en ese caso se omite el envío de la categoría de correo correspondiente.

Base jurídica: Art. 6, ap. 1, lit. b) del RGPD (ejecución del contrato) o Art. 6, ap. 1, lit. f) del RGPD (interés legítimo en una notificación operativa).

17 — Memberpass / etiqueta para maleta

En el área de miembros puede diseñar un Memberpass imprimible («etiqueta para maleta»). Para ello rige lo siguiente:

Almacenado del lado del servidor en la tabla member_cards: un token aleatorio (32 caracteres hexadecimales, contenido en la URL del código QR), su preferencia de color, una lista blanca de los campos visibles en la tarjeta, el estado del formulario de contacto (activado/desactivado) así como la lista de los campos liberados adicionalmente en la página de contacto pública. Estos datos sirven exclusivamente para la representación de su tarjeta.

No almacenados en nuestra base de datos están los datos personales que pueden aparecer en la tarjeta: nombre y apellido, dirección («Territory») y número de teléfono. Estas entradas permanecen exclusivamente en el almacenamiento del navegador (localStorage) de su dispositivo terminal, no se transmiten a nuestro servidor y nunca se muestran en la página de contacto pública. Puede eliminarlas en cualquier momento mediante el botón «Eliminar entradas» en el configurador; también desaparecen si vacía el almacenamiento del navegador o utiliza otro dispositivo terminal.

Al imprimir o guardar como PDF, estos valores locales se insertan exclusivamente en el diseño de impresión; tampoco en este proceso se transmiten al servidor.

Base jurídica: Art. 6, ap. 1, lit. a) del RGPD (consentimiento mediante configuración activa); para los datos personales que permanecen localmente, al no haber transmisión de datos a nosotros, no existe tratamiento en el sentido del RGPD por parte del responsable.

18 — Página de destino pública del QR (`/m/<token>`) y formulario de contacto

El código QR de su Memberpass remite a una página pública que muestra exclusivamente su nombre visible. Opcionalmente, puede liberar adicionalmente su foto de perfil y/o la indicación «Miembro desde MM/YYYY» en esta página. Su dirección de correo electrónico, número de teléfono, dirección postal o nombre real nunca se muestran en esta página.

Formulario de contacto (opcional): Si ha activado el formulario de contacto, los visitantes pueden escribirle un mensaje de texto. Este se reenvía a través de una ruta de envío protegida directamente a la dirección de correo electrónico que usted haya proporcionado y no se almacena en nuestra base de datos. No vemos el contenido del mensaje y no podemos reconstruirlo tras el envío.

Protección contra spam en esta página: medidas puramente técnicas (campo honeypot, una breve barrera temporal mediante marca de tiempo firmada, limitación basada en IP a través de la tabla login_attempts con un plazo de conservación de 14 días (las direcciones IP se almacenan truncadas a /24 (IPv4) o /48 (IPv6)), así como un acertijo de «proof-of-work» que debe resolverse del lado del cliente). No se integran servicios de captcha externos, no se transmiten datos personales a terceros.

Cookies técnicamente necesarias: Al llamar a la página de destino del QR se establece una cookie de sesión (sk_sid, HttpOnly, Secure, SameSite=Strict, vida útil: sesión del navegador). Sirve exclusivamente para asegurar el formulario de contacto (token CSRF) y no contiene datos personales. Para ello no se requiere consentimiento conforme al § 25, ap. 2, n.º 2, del TTDSG (ley alemana de protección de datos en telecomunicaciones y telemedios).

Puede regenerar el token en cualquier momento en el configurador (las tarjetas impresas previamente quedarán invalidadas) o desactivar el formulario de contacto o la página.

Base jurídica: Art. 6, ap. 1, lit. a) del RGPD (consentimiento mediante activación de la función respectiva).

19 — Invitaciones y códigos de invitación

Los nuevos miembros solo pueden unirse por invitación. Dos procedimientos:

Invitación vinculada al correo: Almacenamos la dirección de correo electrónico, opcionalmente una nota, el administrador invitador, la fecha de caducidad así como el hash SHA-256 del token de un solo uso (no el texto plano). Tras la aceptación o la caducidad, la entrada se invalida y se anota en el registro de auditoría.

Código de invitación abierto: Almacenamos el código (como una combinación de 8 caracteres bien legible), una etiqueta interna opcional del administrador, el número máximo de registros, la fecha de caducidad, el contador de usos. Adicionalmente, registramos qué ID de usuario ha utilizado qué código y cuándo (tabla invite_code_uses), para poder rastrear un uso indebido.

Plazo de conservación: hasta la caducidad o revocación del código o hasta la supresión de la cuenta registrada con él. Base jurídica: Art. 6, ap. 1, lit. f) del RGPD (interés legítimo en una concesión de acceso controlada).

20 — Exportación de datos y supresión de la cuenta

Exportación de datos (Art. 15, 20 del RGPD): Los miembros con sesión iniciada pueden descargar en cualquier momento en /members/datenexport una copia completa de todos los datos almacenados sobre su cuenta como ZIP (datos JSON, foto de perfil, registro de auditoría como CSV, README). Por motivos de seguridad quedan excluidos los hashes de las contraseñas y el material criptográfico de los passkeys.

Autosupresión (Art. 17 del RGPD): En el área de cuenta («Eliminar cuenta») puede eliminar su cuenta por sí mismo. Con la supresión, la cuenta, los passkeys, las sesiones, la foto de perfil, las reacciones, los comentarios y los datos del Memberpass se eliminan de forma irrevocable. En el registro de auditoría permanecen entradas anonimizadas con fines de seguridad y de prueba.

Alternativamente, puede dirigirse en cualquier momento por escrito a la dirección indicada en la sección 01.

21 — Medidas técnicas y organizativas

Para la protección de sus datos empleamos, entre otras: cifrado TLS/HTTPS para todas las transmisiones de datos, Content-Security-Policy estricta con scripts basados en nonce, protección CSRF en todos los formularios, cookies SameSite-Strict, hashing de contraseñas Argon2id, limitación de fuerza bruta con backoff exponencial, doble factor opcional con passkey, almacenamiento separado de avatares fuera del webroot, actualizaciones de seguridad periódicas de las bibliotecas utilizadas. Una visión general de los eventos de seguridad (registro de auditoría) permite la trazabilidad de las acciones críticas.

Última actualización

mayo de 2026 (revisado)

Plantilla modelo: e-recht24.de

Volver a la manada